El nuevo Malware RustDoor de macOS se Disfraza como Actualización de Visual Studio

Un nuevo malware para macOS basado en Rust que se propaga como una actualización de Visual Studio para proporcionar acceso de puertas traseras a sistemas comprometidos que usan una infraestructura vinculada a la infame banda de ransomware ALPHV/BlackCat.

La campaña que entrega la puerta trasera comenzó al menos desde noviembre de 2023 y aún está en marcha distribuyendo variantes más nuevas del malware.

Escrito en Rust, el malware puede ejecutarse en arquitecturas basadas en Intel (x86_64) y ARM (Apple Silicon), dicen investigadores de la empresa de ciberseguridad Bitdefender que lo están rastreando como RustDoor.

Posible Vínculo con Operaciones de Ransomware

Mientras analizaban RustDoor, los investigadores de malware de Bitdefender descubrieron que el malware se comunicaba con cuatro servidores de comando y control (C2).

Al analizar los datos de inteligencia de amenazas, los analistas descubrieron que tres de ellos se habían utilizado en ataques potencialmente vinculados a ataques de ransomware de una filial de ALPHV/BlackCat.

Sin embargo, los investigadores destacan que esta es una evidencia insuficiente para vincular con seguridad el uso de RustDoor con un actor de amenaza en particular y que “los artefactos y los IoC (indicadores de compromiso) sugieren una posible relación con los operadores de ransomware BlackBasta y ALPHV/BlackCat”.

Dado que los ciberdelincuentes tienen menos libertad para elegir su infraestructura y están restringidos a servicios de alojamiento que brindan anonimato y toleran actividades ilegales, es común que múltiples actores de amenazas utilicen los mismos servidores para ataques.

Si bien existen cifrados para el sistema macOS, compilaciones para Apple M1 de LockBit creadas antes de diciembre de 2022, no hay informes públicos en este momento de que ransomware ataque el sistema operativo de Apple.

La mayoría de las operaciones se dirigen a sistemas Windows y Linux, ya que los entornos empresariales utilizan servidores que ejecutan estos sistemas operativos.

Detalles de Distribución

RustDoor se distribuye principalmente como una actualización de Visual Studio para Mac, el entorno de desarrollo integrado (IDE) de Microsoft para la plataforma macOS, que dejará de estar disponible este año el 31 de agosto.

La puerta trasera de macOS se entrega con varios nombres, incluidos ‘zshrc2‘, ‘Previewers‘, ‘VisualStudioUpdater‘, ‘VisualStudioUpdater_Patch‘, ‘VisualStudioUpdating‘, ‘visualstudioupdate‘ y ‘DO_NOT_RUN_ChromeUpdates‘.

Según Bitdefender, el malware ha estado bajo distribución activa y no ha sido detectado durante al menos tres meses.

Los investigadores descubrieron tres versiones del malware, que vienen como archivos binarios FAT que incluyen archivos Mach-O para arquitecturas Intel x86_64 y ARM, pero que no vienen incluidos en los archivos principales típicos, como paquetes de aplicaciones o imágenes de disco.

Bitdefender afirma que este método de distribución atípico reduce la huella digital de la campaña y la probabilidad de que los productos de seguridad marquen la puerta trasera como sospechosa.

Capacidades de Puerta Trasera

En un informe de esta semana, los investigadores dicen que RustDoor tiene comandos para controlar el sistema comprometido y filtrar datos, y puede persistir en el dispositivo modificando los archivos del sistema.

Después de infectar un sistema, el malware se comunica con servidores de comando y control (C2) utilizando puntos finales específicos para el registro, la ejecución de tareas y la filtración de datos.

Los comandos admitidos por el malware incluyen los siguientes:

  • ps: enumera los procesos en ejecución, útil para monitorear la actividad del sistema.
  • shell: ejecuta comandos de shell arbitrarios, dando a los atacantes control directo.
  • cd: Cambia el directorio actual, permitiendo la navegación a través del sistema de archivos.
  • mkdir: Crea un nuevo directorio, útil para organizar datos robados o componentes de malware.
  • rm: elimina archivos, potencialmente para eliminar archivos importantes o limpiar rastros de malware.
  • rmdir: elimina directorios, similar a rm pero para directorios.
  • sleep: pausa la ejecución durante un tiempo determinado, posiblemente para evadir la detección o sincronizar acciones.
  • upload: envía archivos a un servidor remoto, utilizado para extraer datos robados.
  • botkill: finaliza otros procesos de malware, posiblemente para eliminar la competencia o liberar recursos del sistema.
  • dialog: muestra mensajes o indicaciones al usuario, potencialmente para phishing o para ejecutar comandos con privilegios de usuario.
  • taskkill: finaliza procesos específicos, útil para detener el software de seguridad u otros procesos que interfieren con el malware.
  • download: recupera archivos de un servidor remoto, que se utiliza para incorporar componentes de malware adicionales o actualizaciones al sistema infectado.

La puerta trasera utiliza trabajos Cron y LaunchAgents para programar su ejecución en momentos específicos o cuando el usuario inicia sesión, asegurándose así de que sobreviva a los reinicios del sistema.

Además, modifica el archivo ~/.zshrc para ejecutarlo en nuevas sesiones de terminal o agregarlo al Dock con comandos del sistema, lo que lo ayuda a integrarse con aplicaciones legítimas y actividades del usuario.

Bitdefender señala que existen al menos tres variantes de RustDoor, la primera vista desde principios de octubre de 2023.

El siguiente se vio el 22 de noviembre y parecía ser una versión de prueba que precedió a una versión actualizada observada el 30 de noviembre, que incluye “una configuración JSON compleja, así como un script de Apple integrado utilizado para la exfiltración” de archivos con extensiones específicas.

Los investigadores proporcionan una lista de indicadores conocidos de compromiso para RustDoor, que incluye binarios, dominios de descarga y URL para los cuatro servidores de comando y control descubiertos.

Relacionado

Microsoft advierte del malware FoggyWeb dirigido a servidores FS de Active Directory

Microsoft reveló recientemente la existencia de un nuevo malware implementado por el grupo de piratería detrás del ataque a la cadena de suministro SolarWinds. Con el nombre en código de FoggyWeb el malware consiste en ataques de puerta trasera pasivos y altamente dirigidos. Foggyweb se convierte en la última amenaza de Nobelium en una larga lista de armas cibernéticas conocidas. Entre otras, se encuentran: Sunburst, Sunspot, ¡SEGUIR LEYENDO!

Encuentran una puerta trasera extremadamente misteriosa en Windows IIS

Investigadores de seguridad cibernética de Symantic han descubierto un malware inusual que extrae datos en computadoras con Windows y permite la ejecución de código arbitrario. El programa está integrado en Microsoft Internet Information Services (IIS) y crea una puerta trasera a través de la cual se puede interceptar el tráfico. IIS es un servidor web de propósito general en las computadoras con Windows. Acepta solicitudes de ¡SEGUIR LEYENDO!

Ataques de Malware Bumblebee regresan tras una Pausa de 4 Meses

El malware Bumblebee regresó después de unas vacaciones de cuatro meses y se dirigió a miles de organizaciones en los Estados Unidos en campañas de phishing. Bumblebee es un cargador de malware descubierto en abril de 2022 y se cree que fue desarrollado por el sindicato de delitos cibernéticos Conti y Trickbot como reemplazo de la puerta trasera BazarLoader. El malware se distribuye comúnmente en campañas ¡SEGUIR LEYENDO!

Nuevo Malware Migo desactiva las Funciones de Protección en los Servidores Redis

Los investigadores de seguridad descubrieron una nueva campaña dirigida a servidores Redis en hosts Linux utilizando un malware llamado 'Migo' para extraer criptomonedas. Redis (Remote Dictionary Server) es un almacén de estructura de datos en memoria que se utiliza como base de datos, caché y intermediario de mensajes conocido por su alto rendimiento, que atiende miles de solicitudes por segundo para aplicaciones en tiempo real en ¡SEGUIR LEYENDO!

Malware de Android roba datos financieros de 378 aplicaciones de bancos y billeteras digitales

Los creadores del malware móvil BlackRock han aparecido con un nuevo troyano bancario de Android denominado ERMAC con sus raíces en el malicioso malware Cerberus. "El nuevo troyano tiene campañas de distribución activas y apunta a 378 aplicaciones bancarias y de billeteras", según el CEO de ThreatFabric. Se cree que las primeras campañas que involucran a ERMAC comenzaron a finales de Agosto. Desde entonces, los ataques ¡SEGUIR LEYENDO!